Hacking Diablo II之D2HACKIT技术详解

Hacking Diablo II之D2HACKIT技术详解趁着圣诞又歇了几天,没博,倒是主动被动的看了不少片子。我发现我的观影口味挺杂,什么都看,还什么都能看的津津有味。这些片中,有肥皂剧型的“AllyMcBeal”(甜心俏佳人),柯恩兄弟的黑帮型的"Miller’sCrossing",闷骚型的“CountryLife”,一直想看的“北京乐与路”,还有成龙大叔的“神话”。前几天有博友留言希望我多谈点儿d2hackit,那我就随便说说。D2中的外挂,…

大家好,又见面了,我是你们的朋友全栈君。趁着圣诞又歇了几天,没博,倒是主动被动的看了不少片子。我发现我的观影口味挺杂,什么都看,还什么都能看的津津有味。这些片中,有肥皂剧型的“Ally McBeal”(甜心俏佳人),柯恩兄弟的黑帮型的”Miller’s Crossing”,闷骚型的“Country Life”,一直想看的“北京乐与路”,还有成龙大叔的“神话”。

前几天有博友留言希望我多谈点儿d2hackit,那我就随便说说。

D2中的外挂,比较有代表性的大致可以分为三类:以maphack为代表的辅助型,以帮助玩家更有效的玩游戏为目的;以D2JSP为代表的BOT型,用于在无人值守的状态下自动进行游戏;还有一类就是以d2hackit为代表的全能型,bot、pickit、dupe、pk hack、packet sniffer、trade hack、drop hack什么都能做,D2中dupe泛滥有一部分原因要归功于它,比较有代表性的基于d2hackit的插件外挂有09时期的pickit、PindleBot,和1.10时期的zPickit。

从结果上看,d2hackit无疑是成功的,然而从软件设计角度看,它当初的部分设计目标并没有达到。d2hackit的设计意图,是要实现一个外挂的开发平台,其他开发者只需用这个平台提供的基础设施,不必具备逆向工程,甚至汇编语言的能力就能够做出外挂。按照d2hackit原作者thohell的设想,d2hackit甚至不必局限于D2,而是一个通用的外挂开发平台,可以用于其他游戏。

降低外挂开发的难度这一点d2hackit是做到了,d2hackit插件泛滥就说明了它的成功。通用平台这一目标它显然没有达到,别说用于其它游戏,在09补丁上能用的插件,在1.10上都用不了,必须重新编译甚至修改源代码。

d2hackit的基本工作原理,跟我以前写的一篇
介绍外挂工作原理的文章里说的大致相同:d2hackit的加载、卸载,地址(旁路点、游戏内部函数和全局变量)的定位,以及旁路点被触发时的处理等几部份。不同的是d2hackit做为一个外挂平台,还需要加载它的插件,并在适当时刻(收、发数据包,进入、退出游戏等)通知插件。下面逐一分析。

1,d2hackit的加载和卸载。 d2hackit在本质上就是一个windows的DLL,因此任何能在游戏进程加载、卸载DLL的方法都适用于d2hackit。d2hackit 自带的loader用的是远程DLL注入的方法,另外d2hackit本身也可以做为d2loader的插件在游戏程序运行时自动加载。

2,地址的定位。d2hackit对地址的定位是比较有特色的,它除了支持基址+偏移量的通常做法,还支持指纹式的内存数据匹配搜索,也就是说它可以通过搜索特定模式的字节序列来定位内存地址。这样设计的意图是在游戏补丁升级时只需更新指纹数据就可以让d2hackit工作于新版本补丁(当然大家都知道这个目标没有达到)。指纹模式在配置文件中指定(d2hackit.ini),格式如下:

;
Name
=
Module
,
patchsize
,
offset
,
fingerprint
GamePacketReceivedIntercept

=
D2Client
.
dll
,
7
,
13
,
8B5C2410xxxxxxxxxxxx8D145B8B0495

上面这行指定了接收数据包的旁路点地址的匹配模式:在d2client.dll中搜索8B5C2410xxxxxxxxxxxx8D145B8B0495特征数据,每xx匹配任意1字节数据。7为patch长度,13为距离匹配地址的偏移。

3,旁路点的事件处理。以接收游戏数据包的处理为例。在安装了GamePacketReceivedIntercept旁路点以后,每当收到游戏内数据包时,d2hackit的相应旁路点处理例程就会先获取控制权。为了不破坏原先的寄存器内容,旁路点处理例程必须先保存必要的寄存器然后再做真正的处理。因此处理例程分为两部分,用汇编写的GamePacketReceivedInterceptSTUB函数和C函数GamePacketReceivedIntercept。

DWORD__fastcallGamePacketReceivedIntercept(BYTE
*
aPacket,DWORDaLength)
{


//
Passpackettoallclientswhowantstosnoop


LinkedItem
*
li
=
ClientModules.GetFirstItem();

while
(li)
{

PCISpCIS

=
ClientModules.GetCIS(li);

if
(pCIS
&&
pCIS
->
OnGamePacketBeforeReceived)
{

aLength

=
pCIS
->
OnGamePacketBeforeReceived(aPacket,aLength);

if
(
!
aLength)
break
;
}
li

=
ClientModules.GetNextItem(li);
}

return
aLength;
}

上面是d2hackit的收到数据包时的处理代码,很简单,就是遍历加载的插件模块,挨个调用插件模块中的
OnGamePacketBeforeReceived函数进行进一步的分析。
4,d2hackit插件模块。d2hackit的插件以d2h为后缀,其实也是普通的DLL。做为d2hackit的插件,d2h必须提供一些回调入口点(即DLL的导出函数),供d2hackit在必要的时刻调用。这些入口点有:

BOOLEXPORTOnClientStart
();

BOOLEXPORTOnClientStop

();

DWORDEXPORTOnGameTimerTick

();

BOOLEXPORTOnGameCommandLine

(
char**argv
,
intargc
);

DWORDEXPORTOnBnetPacketBeforeSent

(
BYTE*aPacket
,
DWORDaLen
);

DWORDEXPORTOnBnetPacketBeforeReceived

(
BYTE*aPacket
,
DWORDaLen
);

DWORDEXPORTOnRealmPacketBeforeSent

(
BYTE*aPacket
,
DWORDaLen
);

DWORDEXPORTOnRealmPacketBeforeReceived

(
BYTE*aPacket
,
DWORDaLen
);

DWORDEXPORTOnGamePacketBeforeSent

(
BYTE*aPacket
,
DWORDaLen
);

DWORDEXPORTOnGamePacketBeforeReceived

(
BYTE*aPacket
,
DWORDaLen
);

LPCSTREXPORTGetModuleAuthor

();

LPCSTREXPORTGetModuleWebsite

();

LPCSTREXPORTGetModuleEmail

();

LPCSTREXPORTGetModuleDescription

();

DWORDEXPORTGetModuleVersion

();

VOIDEXPORTOnGameJoin

(
THISGAMESTRUCT*thisgame
);

VOIDEXPORTOnGameLeave

(
THISGAMESTRUCT*thisgame
);

通过名字你就能猜出它们在什么时候会被d2hackit调用,比如说收到数据包时就是
OnGamePacketBeforeReceived


d2hackit插件的加载有两种方法,一种是在d2hackit.ini里设定随着d2hackit本身加载时自动加载,另一种可以由玩家在进入游戏后在聊天输入框中以特定的命令加载(d2hackit截获了聊天输入框的处理)。
5,d2hackit也给插件模块提供了一组接口(API),供插件模块使用。比如在OnGamePacketBeforeReceived函数中,插件可以直接修改数据包buffer的数据,但有的时候你需要向玩家显示分析结果或者向服务器发送一些定制数据包,这时候就得调用d2hackit提供的API。基本的API大概有这些:

DWORDEXPORTGameSendPacketToServer(LPBYTEbuf,DWORDlen);
DWORDEXPORTBnetSendPacketToServer(LPBYTEbuf,DWORDlen);
DWORDEXPORTRealmSendPacketToServer(LPBYTEbuf,DWORDlen);
BOOLEXPORTGameSendMessageToChat(LPSTRmsg);
DWORDEXPORTGameSendPacketToGame(LPBYTEbuf,DWORDlen);
BOOLEXPORTGameInsertPacketToGame(LPBYTEbuf,DWORDlen);
BOOLEXPORTGamePrintInfo(LPCSTRbuf);
BOOLEXPORTGamePrintError(LPCSTRbuf);
BOOLEXPORTGamePrintVerbose(LPCSTRbuf);
BOOLEXPORTGamePrintString(LPCSTRbuf);
DWORDEXPORTGameSendPacketToServer(LPBYTEbuf,DWORDlen);
PTHISGAMESTRUCTEXPORTGetThisgameStruct(

void
);
PSERVERINFOEXPORTGetServerInfo(DWORDdwVersion,LPCSTRszModule);
BOOLEXPORTGameSaveAndExit();

这样,d2hackit的插件通过处理特定的事件和调用d2hackit提供的API就可以实现它想要的功能,无须汇编和逆向工程知识。由于网络游戏的功能实现非常依赖于数据包,因此通过截获数据包的收发来分析、篡改、伪造数据包可以完成绝大部分外挂的功能。

6,d2hackit的升级。由于d2hackit利用游戏的特定函数和数据进行工作,每次D2升级补丁d2hackit本身也必须重定位这些地址。做一个可以用于1.11b补丁的d2hackit其实也主要就是这个工作。比起d2hackmap来,d2hackit用的的地址很少(10个),难度小多了。要定位的地址有:

Hacking Diablo II之D2HACKIT技术详解GamePacketReceivedIntercept=D2Client.dll,7,13,8B5C2410xxxxxxxxxxxx8D145B8B0495

GamePacketReceivedIntercept2=D2Client.dll,7,18,85C9894C24xx0F8FxxxxxxxxFF05xxxxxxxx5F5E5D

GamePacketSentIntercept=D2Net.dll,5,0,!10005

GamePlayerInfoIntercept=D2Client.dll,6,10,E8xxxxxxxxE8xxxxxxxx8935xxxxxxxx5EC3

pPlayerInfoStruct=D2Client.dll,0,12,E8xxxxxxxxE8xxxxxxxx8935xxxxxxxx5EC3

GamePrintStringLocation=D2Client.dll,0,0,81ECxxxxxxxx53558BE956578A45xx84C0

LoaderStruct=Game.exe,0,0,1d10abd1

GameKeyDownIntercept=D2Client.dll,5,5,8B770833D2xxxxxxxxxxxxC0668B41043BC6

GameSendPacketToGameLocation=d2net.dll,0,21,81EC0C010000538B1Dxxxxxxxx5556

GameSaveAndExit=D2client.dll,0,0,33c9e8xxxxxxxxc705xxxxxxxxxxxxxxxxe8xxxxxxxxc705

GameSendMessageToChat=bnclient.dll,0,15,C390909090909090909090909090908BD1

pGameInfoStruct=d2client.dll,0,0,#6FAA1C5A

Hacking Diablo II之D2HACKIT技术详解

第二个要做的工作是修改旁路点的入口代码,因为不同的d2补丁具体代码可能有变化,对寄存器的利用也有所不同。具体的说就是要改这几个函数:

Hacking Diablo II之D2HACKIT技术详解
void
GamePacketReceivedInterceptSTUB();
Hacking Diablo II之D2HACKIT技术详解

void
GamePacketReceivedIntercept2STUB();
Hacking Diablo II之D2HACKIT技术详解

void
BnetPacketReceivedSaveSTUB();
Hacking Diablo II之D2HACKIT技术详解

void
BnetPacketReceivedInterceptSTUB();
Hacking Diablo II之D2HACKIT技术详解

void
GamePacketSentInterceptSTUB();
Hacking Diablo II之D2HACKIT技术详解

void
BnetPacketSentInterceptSTUB();
Hacking Diablo II之D2HACKIT技术详解

void
GamePlayerInfoInterceptSTUB();

第三步是修正两个游戏内部的数据结构:

Hacking Diablo II之D2HACKIT技术详解
typedef
struct
playerinfostruct_t_110
Hacking Diablo II之D2HACKIT技术详解Hacking Diablo II之D2HACKIT技术详解


{

Hacking Diablo II之D2HACKIT技术详解BYTEUnitType;
//+0x00
Hacking Diablo II之D2HACKIT技术详解
DWORDCharacterClass;//+0x04
Hacking Diablo II之D2HACKIT技术详解
DWORDunknown1;//+0x08
Hacking Diablo II之D2HACKIT技术详解
DWORDPlayerID;//+0x0c
Hacking Diablo II之D2HACKIT技术详解
DWORDPlayerLocation;//+0x10(defineslocationsomehowinoroutoftownandmaybeotherlocations(0x05=intown,0x01=outoftown)
Hacking Diablo II之D2HACKIT技术详解
LPCSTRPlayerName;//+0x14pointertoLPSZplayername
Hacking Diablo II之D2HACKIT技术详解
BYTEAct;//+0x18
Hacking Diablo II之D2HACKIT技术详解
BYTEunknown2[0x73];//+0x19
Hacking Diablo II之D2HACKIT技术详解
WORDPlayerPositionX;//+0x8c
Hacking Diablo II之D2HACKIT技术详解
WORDPlayerPositionY;//+0x8e
Hacking Diablo II之D2HACKIT技术详解

Hacking Diablo II之D2HACKIT技术详解}

PLAYERINFOSTRUCT_110,
*
PPLAYERINFOSTRUCT_110;
Hacking Diablo II之D2HACKIT技术详解
Hacking Diablo II之D2HACKIT技术详解typedef

struct
gamestruct_t_110
Hacking Diablo II之D2HACKIT技术详解Hacking Diablo II之D2HACKIT技术详解


{

Hacking Diablo II之D2HACKIT技术详解
charUnknown1[0x1a];
Hacking Diablo II之D2HACKIT技术详解
charGameName[0x10];
Hacking Diablo II之D2HACKIT技术详解
charUnknown2[0x08];
Hacking Diablo II之D2HACKIT技术详解
charServerIP[0x10];
Hacking Diablo II之D2HACKIT技术详解
charUnknown3[0x46];
Hacking Diablo II之D2HACKIT技术详解
charAccountName[0x10];
Hacking Diablo II之D2HACKIT技术详解
charUnknown4[0x20];
Hacking Diablo II之D2HACKIT技术详解
charCharacterName[0x10];
Hacking Diablo II之D2HACKIT技术详解
charUnknown5[0x08];
Hacking Diablo II之D2HACKIT技术详解
charRealmName[0x10];
Hacking Diablo II之D2HACKIT技术详解
charUnknown6[0x147];
Hacking Diablo II之D2HACKIT技术详解
charRealmName2[0x10];
Hacking Diablo II之D2HACKIT技术详解
charUnknown7[0x08];
Hacking Diablo II之D2HACKIT技术详解
charGamePassword[0x10];
Hacking Diablo II之D2HACKIT技术详解
Hacking Diablo II之D2HACKIT技术详解}

GAMESTRUCT_110,
*
PGAMESTRUCT_110;
Hacking Diablo II之D2HACKIT技术详解
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/137079.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • redis(五大数据类型)「建议收藏」

    redis(五大数据类型)「建议收藏」RedisRedis入门菜Redis为什么这么快?五大数据类型Redis可以用作数据库,缓存,消息中间件Redis入门菜redis 默认有16个数据库可以使用select 进行切换数据库root@ubuntu:/usr/bin/redisconf# redis-cli 127.0.0.1:6379> select 3 //选择第3个数据库OK127.0.0.1:6379[3]> DBSIZE //查看数据库大小(integer) 0127.0.0.1:6379[3]>

  • vue不适合seo_网站排名优化就要易速达

    vue不适合seo_网站排名优化就要易速达​在开始之前,我们先来了解一下什么是SEO。SEO(SearchEngineOptimization):汉译为搜索引擎优化。是一种方式:利用搜索引擎的规则提高网站在有关搜索引擎内的自然排名。目的是让其在行业内占据领先地位,获得品牌收益。很大程度上是网站经营者的一种商业行为,将自己或自己公司的排名前移。说白了就是你的SEO做的越好,当别人搜索某个关键词时,你的网站在搜索结果中就排的越…

  • Linux运维常见面试题汇总

    Linux运维常见面试题汇总Linux面试题一、填空题1. 在Linux 系统中,以文件方式访问设备。2.Linux 内核引导时,从文件/etc/fstab中读取要加载的文件系统。3.Linux 文件系统中每个文件用indoe节点来标识。4. 全部磁盘块由四个部分组成,分别为引导块 、专用块 、 i 节点表块 和 数据存储块 。5. 链接分为:硬链接 和 符号链接 。

  • volatile为什么不能保证原子性

    volatile为什么不能保证原子性首先要了解的是,volatile可以保证可见性和顺序性,这些都很好理解,那么它为什么不能保证原子性呢?可见性可见性与Java的内存模型有关,模型采用缓存与主存的方式对变量进行操作,也就是说,每个线程都有自己的缓存空间,对变量的操作都是在缓存中进行的,之后再将修改后的值返回到主存中,这就带来了问题,有可能一个线程在将共享变量修改后,还没有来的及将缓存中的变量返回给主存中,另外一个线程就对…

  • 再eclipse查看某个java类属于哪个jar包

    再eclipse查看某个java类属于哪个jar包

  • 关于禅道迁移服务器

    关于禅道迁移服务器

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号